Mallox fidye yazılımı grubu VMWare ESXi ortamlarını, yükünü yalnızca yüksek düzey kullanıcı ayrıcalıklarına sahip makinelerde sunmak ve yürütmek için yeni bir teknik kullanan yeni bir Linux varyantıyla hedefliyor.
Mallox’u TargetCompany olarak takip eden Trend Micro araştırmacıları tarafından keşfedilen bu değişken, özellikle hedeflenen sistemin VMWare ESXi ortamında çalışıp çalışmadığını ve yönetici haklarına sahip olup olmadığını belirliyor ve bu gereksinimler karşılanmadığı takdirde saldırıya devam etmiyor. bir blog yazısına göre 5 Haziran’da yayınlandı.
Fargo ve Tohnichi takma adlarıyla da bilinen Mallox, ilk olarak Haziran 2021’de ortaya çıktı ve iddialara göre yüzlerce kuruluşa bulaştı Dünya çapında. Grubun hedeflediği belirli sektörler arasında imalat, perakende, toptan satış, hukuk ve profesyonel hizmetler yer almaktadır. Trend Micro’ya göre bu yıl Mallox en çok Tayvan, Hindistan, Tayland ve Güney Kore’de aktif oldu.
Özel Kabuk Gelişmişliği Gösterir
Linux versiyonu ilk kez Mallox’un özel bir kabuk betiği kullandığı görüldü sanallaştırılmış ortamlarda fidye yazılımı dağıtmak ve yürütmek; bu faaliyet muhtemelen daha fazla kesinti yaratmayı ve dolayısıyla fidye ödemesi şansını artırmayı hedefliyordu.
Dahası, varyantı kullanmaktan sorumlu olan düşmanın “vampir” adı verilen bir Mallox üyesi olması, Trend Micro’dan Darrel Tristan Virtusio, Nathaniel Morales ve Cj Arsley’e göre grubun “yüksek fidye talepleri ve kapsamlı BT sistemi hedeflemesi içeren daha geniş kampanyalara” dahil olduğunu gösteriyor. Mateo gönderide şunu yazdı.
Araştırmacılar, özel bir kabuğun kullanılmasının aynı zamanda Mallox’un “gelecekteki saldırılarında daha karmaşık yöntemler kullanmak üzere sürekli olarak geliştiğini” gösterdiğini belirtti.
“Bu yakın zamanda bulunan Linux çeşidi son trendle uyumlu ile ilgili Fidye yazılımı grupları saldırılarını genişletiyor kritik Linux ortamlarına aktarılarak hedef kurbanların çeşitliliği potansiyel olarak artırılıyor” gözleminde bulundular.
Özel kabuk, teslimat ve yürütmenin yanı sıra kurbanın bilgilerini iki farklı sunucuya sızdırarak fidye yazılımı aktörlerinin bilgilerin yedeğini almasını sağlar. Mallox’un, fidye yazılımı saldırılarından çalınan verileri açığa çıkarmak için aynı adı taşıyan bir sızıntı sitesini kullandığı biliniyor.
Mallox Varyantı Nasıl Çalışır?
Bu en son değişken, öncelikle yürütülebilir dosyanın yönetici haklarıyla çalışıp çalışmadığını görmek için sistemi kontrol eder ve eğer durum böyle değilse etkinliğine devam etmez.
Yürütmenin ardından varyant, adlı bir metin dosyasını bırakır. TargetInfo.txt Komuta ve kontrol (C2) sunucusuna gönderilen kurban bilgilerini içeren, Mallox fidye yazılımının Windows sürümüne benzer davranış.
Araştırmacılar, bu bilgiyi sızdırmak ve daha sonra yükü yürütmek için kullanılan IP adresinin daha önce Mallox tarafından kullanılmadığını belirtti. Çinli bir ISP olan China Mobile Communications tarafından barındırılıyor ve muhtemelen tehdit aktörü tarafından kötü niyetli yükünü barındırmak için kısa süreli kullanım için kiralandı.
İkili dosya ayrıca makinenin bir sistemde çalışıp çalışmadığını belirlemek için bir kontrol gerçekleştirir. VMWare ESXi ortamı sistem adının, makinenin VMware’in ESXi hipervizöründe çalıştığını gösteren “vmkernel” ile eşleşip eşleşmediğine bakarak. Eğer öyleyse, şifreleme rutinini dağıtır, şifrelenmiş dosyalara “.locked” uzantısını ekler ve adlı bir fidye notu bırakır. txt.txt’nin şifresi nasıl çözülür?. Araştırmacılar, hem uzantının hem de notun Windows varyantından saptığını belirtti.
Yükü indirmek ve yürütmek için kullanılan özel kabuk komut dosyası, verileri farklı bir sunucuya da sızdırabilir. Bunu, bırakılan metin dosyasının içeriğini okuyarak ve fidye yazılımı rutinini gerçekleştirdikten sonra dosyayı başka bir URL’ye yükleyerek yapar. Araştırmacılar, varyantın ayrıca kurban bilgilerini iki farklı sunucuya sızdırdığını, muhtemelen “yedekliği artırmak ve bir sunucunun çevrimdışı olması veya güvenliğinin ihlal edilmesi durumunda bir yedeğe sahip olmak için” yazdığını yazdı.
Fidye yazılımı rutinini gerçekleştirdikten sonra, komut dosyası TargetCompany yükünü siler, savunmacılar için saldırının genel etkisini anlama konusunda ek bir zorluk yaratır ve böylece soruşturmayı ve olaya müdahaleyi zorlaştırır.
Linux ESXi Ortamları Siber Saldırılara Karşı Dikkatli Olun
Araştırmacılar, Mallox’un saldırı faaliyetlerini VMware ESXi çalıştıran Linux ortamlarına kapsamlı bir şekilde genişletmesinin, bu tanıma uyan kuruluşların yeniden dikkatli olmasını gerektirdiğini belirtti.
“Denenmiş ve test edilmiş siber güvenlik önlemlerinin uygulanması, fidye yazılımı girişimlerine kurban gitme riskini azaltabilir ve bir kuruluşun varlıklarının veri bütünlüğünü koruyabilir” diye yazdılar.
Araştırmacıların kuruluşların alması gerektiğini önerdiği en iyi uygulamalar arasında şunlar yer alıyor: çok faktörlü kimlik doğrulamayı (MFA) etkinleştirme Saldırganların ağ içinde yanal hareket yapmasını önlemek için.
Ayrıca önemli dosyaların yedeklenmesinde “3-2-1 kuralı” adı verilen kurala da uymaları gerekir; yani araştırmacılar, “kopyalardan biri ayrı bir konumda saklanacak şekilde, iki farklı dosya formatında üç yedek kopya oluşturmak” anlamına geldiğini belirtti. Son olarak araştırmacılar, sistemlere düzenli olarak yama uygulanması ve güncellenmesinin, kötü niyetli aktörlerin yazılım açıklarından yararlanmasını engelleyebileceğini söyledi.